Патчі Adobe спалахують; Windows, користувачі Mac під атакою

Adobe виправила два найважливіших недоліки безпеки у Flash Player, обидва з яких зазнали активної атаки. Якщо у вас не ввімкнено автоматичне оновлення, потрібно завантажити останню версію та встановити її негайно.

Компанія знає про напади в диких умовах націлювання на версії Flash для Windows і Mac OS X, заявив Adobe у своєму рекомендації з питань надзвичайної безпеки, опублікованому 7 лютого. Flash Player 11.5.502.149 якнайшвидше, зазначив Adobe у своїх рекомендаціях. Adobe також випустила оновлені версії Flash Player для Linux та Android, але ці дві платформи наразі не атакуються.

Google автоматично оновлює Flash Player, інтегрований у Chrome, а Microsoft зробить те ж саме для Internet Explorer 10. Користувачі можуть перевірити тут, яку версію Flash вони встановили та чи потрібно її оновлювати.

"Ці оновлення стосуються вразливостей, які можуть спричинити збій і потенційно дозволять зловмиснику взяти під контроль постраждалу систему", - сказано в дорадчій програмі Adobe.

Помилки під атакою

Зловмисники експлуатували CVE-2013-0633 через невдалий документ Microsoft Word, що містить шкідливий Flash-код, прикріплений до електронної пошти. За даними Adobe, ця експлуатована адресна версія FlashX Flash Player для Windows. Вдалий компроміс призведе до того, що зловмисник зможе віддалено виконувати код і мати повний контроль, попередив Adobe.

Інша вразливість, CVE-2013-0634, націлена на Safari та Firefox на Mac OS X. Користувачі, які приземлилися на веб-сайті, на якому розміщено шкідливий вміст Flash, викликали атаку за допомогою завантаження. Привід за завантаженням відноситься до стилю атаки, який виконується автоматично, без того, щоб користувач нічого робив. Ця вразливість також використовується проти користувачів Windows через шкідливі документи Word. Ця помилка, якщо вона буде успішно використана, також дозволить зловмиснику повністю контролювати комп'ютер.

Запуск за допомогою завантаження небезпечний тим, що "звичайна взаємодія користувачів, попередження та гарантії у вашому програмному забезпеченні обходять стороною, так що просто читання веб-сторінки або перегляд документа може призвести до невдалого встановлення фонового режиму", написав Пол Даклін із компанії Sophos. на блозі Naked Security.

Націлені атаки проти кого?

Існує не так багато деталей щодо самих атак, але Adobe зараховує членів Фонду Shadowserver, Команди реагування на комп’ютери Lockheed Martin і MITER для повідомлення про вразливість Mac. Дослідники лабораторії Касперського приписують пошук помилки Windows. Можливо, що Lockheed Martin та MITER були названі за те, що вони виявили шкідливі документи Word у цілеспрямованій атаці на їхні системи. Такі напади є поширеними в оборонній, аерокосмічній та інших галузях промисловості, і Lockheed Martin спостерігав подібні напади в минулому.

Дослідники з розвідувальної лабораторії FireEye Malware аналізували документи Word, які використовувались для націлювання на системи Windows, та визначали сценарій дії під назвою "LadyBoyle" в коді Flash. Сценарій LadyBoyle скидає кілька виконуваних файлів та файл бібліотеки DLL на машини Windows із встановленим компонентом ActiveX, написала у своєму блозі лабораторія Thoufique Haq, дослідник FireEye. Хоча файли атаки були складені недавно 4 лютого, сім'я зловмисних програм не нова і спостерігалася в попередніх атаках, зазначив Haq.

"Цікаво відзначити, що хоча вміст файлів Word англійською мовою, кодова сторінка файлів Word - це" спрощена китайська мова для Китаю (КНР, Сінгапур) "", - написав Хак.

Один із видалених виконуваних файлів також має недійсний цифровий сертифікат від корейської ігрової компанії MGame. Як і багато інших типів активних шкідливих програм, саме цей варіант перевіряє, чи в системі запущені антивірусні інструменти з Лабораторії Касперського або ClamAV, повідомляє FireEye.